Diskuze k článku
Červ Sasser je neškodný, ale šíří se prý rychle
Příspěvků 25
nerad pisi komentare tohoto typu, ale tady je situace neudrzitelna
server na portě 5554.
na portu
zda porta 445 je funkční.
zda port 445
otevře TCP portu 9996
otevre TCP port 9996
V každém případě si zvlášť pohlídám porty 445, 5554 a 9996
v tomto pade to je spravne(v clanku casteji)
netstat -a
mi vypise jmena portu, tudiz nepoznam port 445, tedy lepe
netstat -an
je ale pekne zjistit, ze onen vadny port(ja vim, port neni vadny, je vadny program, ktery nasloucha) ma jmeno microsoft-ds
otevřenou některou (nebo všechny) z port 445, 5554, či 9996
otevreny nektery z portu 445, ...
ano a tady mi svitlo, misto puntickarskeho opravovani slova za slovem, stacilo napsat, ze port je rodu muzskeho a podle vzoru hrad.
porta je jakysi festival country kapel, nevim, treba chyba vznikla na Porte 445 nebo kolikaty maji rocnik a ja se mylim...
5.5.2004 1:40
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28638
Já jsem žil v přesvědčení, že anglické port se počeštilo na portu (=bránu), a že si podrželo svůj ženský rod. Mýlím se? Může to někdo vysvětlit dříve než to opravím?
port se v cestine pouziva v muzskem rode, pokud mi neverite, staci se podivat treba do nejakeho clanku na renomovanem IT serveru www.root.cz napr. http://www.root.cz/clanek/1715 je o tunelovani a presmerovani portu, tam naleznete souslovi dost az mnoho.
5.5.2004 2:38
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28641
OK, opravil jsem to. Přesvědčil jste mě. (P.S. ten článek na root.cz je moc zajímavý. )
Doporučuji vylepšit syntax kupř.
netstat -an 2
bez zadání času pro reload, v tomto případě 2sec, okno DOSu jen blikne a zmizí - alespon u mne tomu tak je
K ukončení pak stačí CTRL+C
5.5.2004 17:01
Červ Sasser je neškodný, ale šíří se prý rychle
Michal Varga varga (zavináč) stonehenge (tečka) sk 195.?.?.?
Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné
Ano, a taky Solaris, AIX, IRIX, FreeBSD, NetBSD, OpenBSD, Tru64, HP-UX, Novell Netware, Sony Playstation, Symbian a Atari TOS.
Nechci zbytecne provokovat (i kdyz, trochu urcite ano), ale byl ten ucelovy vycet skutecne nutny? Ten Linux se da jeste pochopit, OS X bych taky zkousl, ale DOS..?? Ano, to je skutecne operacni system nabity sitovymi funkcemi, poskytujici rozhodne neproberne kvantum sitovych servisu, ktere ma bohudik naprogramovany tak kvalitne, ze se na ne zadny virus nechyta. Nebo snad OS/2? Jo, to je taky hodne, hodne moderni operacni system, zapadajici do kontextu clanku. Ne, vazne, urcite si rozumime, o co mi jde. Demagogie je spatna vzdy, neexistuje neco jako "ucelove spravna demagogie, protoze Microsoft je jako spatny, takze se jako muze, ze".
5.5.2004 17:17
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28651
Možná jsem měl udělal chybu, že jsem neuvedl zdroj, odkud jsem čerpal své rozumy: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html. Tam je citována většina systémů, které jsem uvedl.
> ... protoze Microsoft je jako ...
ehm, nejsem si jist, jestli je zmínka o M$ v této souvislosti korektní, ježto mezi výčtem nenapadaných systémů je i DOS, kterýžto kromě variant DR DOS, FreeDOS a jiných může být právě i od M$
5.5.2004 21:09
Červ Sasser je neškodný, ale šíří se prý rychle
Portske je vino vy volove
Port může mít v češtině dva rody:
V Rakousku-uhersku stával vojáček u brány či porty,
v elektronice port znamená buď bránu anebo snad lépe
vstup (kupř dat) - závisí tedy na libovůli uživatele,pro
který tvar se rozhodne - na straně druhej proč ale počešťovat cizí slovo,máme-li pro ně vyhovující český výraz,který by nikoho nerozzlobil?
který tvar se rozhodne - na straně druhej proč ale počešťovat cizí slovo,máme-li pro ně vyhovující český výraz,který by nikoho nerozzlobil?
jestli mate na mysli branu, tak tento vyraz se v prostredi pocitacovych siti pouziva pro pocitac, ktery slouzi jako prostrednik mezi vnitrni siti a vnejsi(napr. internetem). Takove pouziti brany pro port by rozcililo mnoho lidi.
Nejsem zadnym odbornikem na cestinu, ale nekolik odbornych tlustospisu v jazyce ceskem o pocitacich jsem jiz cetl(typu popis protokolu TCP/IP, LINUX dokumentacni projekt, Linux - Administrace serveru Apache, Podrobny pruvodce FreeBSD atd...) a port je dnes vylucne uzivan v tomto tvaru a v rodu muzskem, ve smyslu uziti v clanku. Existuji i jine porty, napr. port ve FreeBSD ve smyslu predpripravene sady instrukci pro kompilaci, opet ten port. Nebo port programu pro ruzne systemy(coz je totez, jen uz prelozeno pro dany system) atd...
V tom pripade se jedna o port jako pristav coz je ten pristav a ne ta brana
líbí se mi, jak se zde kolega djb rozčiluje nad slovem port, ale že je v článku několik faktických chyb si nikdo nevšimne ...
tak tedy nejprve k výčtu napadaných systémů:
- pokud je mi známo, Sasser napadá i Windows 2003 (i když Symantec tvrdí, že ne ... každopádně "živý" důkaz jsem neviděl)
- "NT" není starší verze Windows, nýbrž "Windows NT" je označení druhu operačního systému: "Windows 2000" = "Windows NT 5.0", "Windows XP" = "Windows NT 5.1" a tak dál
"Červ se dostane dovnitř pouze přes internet."
- To je lež jako věž - nebo krajně nevhodná formulace? Sasser se bez problémů šíří i po lokální síti.
"Pak začne náhodně generovat IP adresy."
- Náhodnost si představuju trošku jinak ... sledoval jsem na síti marné pokusy nakaženého počítače a snažil se nejprve napadnout své okolí.
"Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné."
"Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny."
- hm, obyčejný uživatel nesdílí soubory (nemyslím teď jmenované ftp, ale smb)? A obyčejný uživatel dokáže woknům vysvětlit, že nemají otvírat porty pro msrpc, netbios, UPnP a jánevímco ještě by default spouští?
"Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám."
- to ovšem ve Windows není nijak vyjímečná situace i bez působení virů ...
"Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám."
- Směrodatný je port 5554. 445 je otevřen standardně (přes ten se vir přece nabourává!)
... ale nezoufejte, výše uvedené jsou jenom takové lehké desinformace a neopatrné formulace, navíc když jsem koukal na odkazovaný článek u Symantecu, tak to vypadá, že z větší části převzaté ... to když jsem zprávu o Sasseru slyšel v televizi, to teprve byly perly - asi nejmenší z nich byla ta, že je to "první (!) vir, který se nešíří emailem" (takhle přesně to neřekli, už si to nepamatuju, ale bylo to hodně podobně) - a co třeba nedávná epidemie jménem Lovsan???
priznam, ze me osobne ta cestina pali vic. Viry nesleduji a staci mi informace, ze existuji abych se jim uspesne vyhybal. Doby, kdy jsem si cetl jejich zdrojaky jsou nekde u One Halfa. Nicmene Vami vypsane fakticke chyby me ani pri opakovanem cteni do oci netrkaji. O NT se da rict, ze to je starsi verze Windows. Porty by byt zavrene mely, bez ohledu na to, ze to uzivatel nechape. Ze se IP adresy patrne generuji nejprve na lokale, se da ocekavat a porad je tam pro nahodnost rezerv dost. Jestli je napadan i W2003 server to je ale zajimave. Kdybych byl putnickar jako vy, tak veta "Červ se dostane dovnitř pouze přes internet." pripousti i lokalni sit (male i) . S porty mate pravdu. 445ka nestaci.
>priznam, ze me osobne ta cestina pali vic.
Chm, napadá mě taková odvážná teorie - není to protože v tom jste si jistý a můžete za to vynadat konkrétnímu člověku, p. Stworovi, kdežto v otázce sítí si jistý nejste a navíc jde o kritiku informací v původním článku od jakéhosi Symantecu a dalších anonymních zdrojů, kterých se Vaše nářky nijak nedotknou?
- Ale jenom spekuluju. Zdá se mi totiž divné, že problém, který se týká víceméně jen jednoho člověka (redaktora), považujete za palčivější, nežli desinformaci, která může ovlivnit více lidí (čtenářů).
...
>O NT se da rict, ze to je starsi verze Windows.
Takže Windows 2003 je "starší verze Windows"? (Protože Windows 2003 není nic jiného, než obchodní jméno pro Windows NT 5.2?)
>Porty by byt zavrene mely, bez ohledu na to,
>ze to uzivatel nechape.
To snad nemyslíte vážně. To jako nikdo nemá nárok třeba sdílet síťovou tiskárnu nebo vůbec sdílet soubory?
>Jestli je napadan i W2003 server to je ale zajimave.
Nechce se mi po tom moc pátrat. Podle toho co jsem četl naposledy, tak žádná z doposavadních mutací Sasseru (od první verze až po E) chybu ve Windows 2003 nenapadá, protože je to potřeba provést trochu jinak, než u starších woken. Nicméně uživatelé Windows 2003 by rozhodně neměli být v klidu, protože zneužití této chyby je pravděpodobně jen otázkou času.
>Kdybych byl putnickar jako vy, tak veta
>"Červ se dostane dovnitř pouze přes internet." pripousti i
>lokalni sit (male i) .
Chlubíte se četbou o TCP/IP, LDP apod. Pak byste měl znát rozdíl mezi pojmy internet a intranet. Velikost i v tomto případě nehraje roli, to jen rozlišuje, zda náhodou nejde o ten jeden konkrétní Internet. Jestliže se dva počítače vedle sebe propojí kabelem, těžko se najde odvážlivec, který by to označil za internet, přesto tam Sasser může nalézt vhodné podmínky k rozmnožení.
ach boze, preci z toho nebudeme delat takovou detektivku. Navic, oba snad dobre vime, ze terminologie je neustalena, takze proste Vy muzete mit jiny nazor, ja muzu mit nazor a oba pritom muzeme mit pravdu. Slovo port me v clanku vadilo, nebot to byla do oci bijici chyba a myslim si, ze je dobre aby se psalo spravne.
můžete za to vynadat konkrétnímu člověku, p. Stworovi
mym cilem nebylo vynadat p. Stworovi. Uz to tu ctu dlouho, jsem si vedom, ze je emigrant a jen jsem ho chtel upozornit na chyby. Asi jsem to nemel davat do fora, ale na mail.
Windows NT. Oba(nebo oba, to snad vi skoro kazdy) zrejme vime, ze to je pouzita technologie, drive v paralelni vetvi Windows, uz tehdy lepsi. No a od W2000 doslo k prejmenovani. Jenomze ty "novejsi" Windows, ackoli pouzivaji starsi, vylepsenou, technologii, se uz NEJMENUJI Windows NT x.x, ale prodavaji se pod nazvem 2000, XP, 2003. A ted se na me nezlobte, timhle Vas nepoucuji, jsem si 100centne jist, ze toto vse vite, taky to pisete, ale taky je mi jasne, ze Vam musi byt jasne, ze kdyz(jeste se orientujete?) nekdo rekne starsi Windows napriklad NT, tak tim ma na mysli sadu, ktera se tak oznacovala, jmenovala. A Vy to vite, ze ja(Stwora, Symantec - coz pro me anonymni zdroj neni...) to takhle muzeme myslet, takze timhle podle me jen prudite a berete nas za slovo. A to dokonce nepravem. Kdyz se neco jmenovalo NT x.x a dnes se jmenuje XP, tak NT je souhrnny nazev pro nektere starsi verze XP.V teto podobe to uvidi uzivatel.
Internet. To mozna nevite(ne ze byste byl hloupej, ale proste treba ctete jine knihy, to neni urazka), ale nekteri lide rikali internet s malym i proste siti na bazi TCP/IP, klidne i dva pocitace. Byl to ode me ale spis vtip. Jsem si vedom, ze to neni prilis uzivane, vlastne uz vubec. Taky tam byl smajlik.
>Porty by byt zavrene mely, bez ohledu na to,
>ze to uzivatel nechape.
To snad nemyslíte vážně. To jako nikdo nemá nárok třeba sdílet síťovou tiskárnu nebo vůbec sdílet soubory?
Opet, toto od Vas povazuju za provokaci. Nepochybuji(skutecne!), ze jste vetsi odbornik nez ja a snad neni nutne psat "porty by byt zavrene mely, tedy s vyjimkou tech, ktere se uzivaji". To je snad neco tak jasneho. Omlouvam se, ale opet jen od Vas provokace. Tu vetu myslim vazne.
To je asi jako bych napsal, ze si mate zamknout dvere u auta a Vy jste me kritizoval, ze se do nej nemuzete dostat. Je nutne rikat, ze kdyz chcete dovnitr, tak je dobre si auto odemknout?
Jinak se omlouvam, ze asi ostrejsi ton, v ramci strucnosti to holt nekdy vyzni "nasranejc".
>Slovo port me v clanku vadilo, nebot to byla do oci bijici
>chyba a myslim si, ze je dobre aby se psalo spravne.
Do očí bijící jistě, ale imho méně závažná - kvůli jinému češtinskému rodu si asi nikdo servisáka (resp. spíše zkušenějšího známého) volat nebude, kvůli tomu, že u jeho windows něco není tak, jak se psalo na webu, který už mu tolikrát dobře poradil, je to klidně možné => zbytečná investice.
>mym cilem nebylo vynadat p. Stworovi. Uz to tu ctu dlouho,
>jsem si vedom, ze je emigrant a jen jsem ho chtel upozornit
>na chyby. Asi jsem to nemel davat do fora, ale na mail.
Ale v pořádku - nesmíte mě brát zase tak vážně
Občas tady tak trochu provokuju (někdy bohužel ne až tak úmyslně), zkouším, jestli si lidé uvědomí, že ne všichni musí všechno chápat stejně, jako oni sami ... Čímž ovšem neříkám, že moje reakce ohledně článku nemá reálný podklad.
...
>A to dokonce nepravem. Kdyz se neco
>jmenovalo NT x.x a dnes se jmenuje XP, tak NT je souhrnny
>nazev pro nektere starsi verze XP.V teto podobe to uvidi
>uzivatel.
Ale ono se to jmenuje NT stále, změnil se jen obchodní název (a co je proboha "starší verze XP"?) Rovněž Longhorn a Blackcomb budou NT. Přezdívání systému kódovými jmény je možná pohodlné, ale zavádějící. Považoval bych za vhodné zmínce o NT se v ideálním případě vyhnout.
>Internet. To mozna nevite(ne ze byste byl hloupej, ale
>proste treba ctete jine knihy, to neni urazka), ale nekteri
>lide rikali internet s malym i proste siti na bazi TCP/IP,
>klidne i dva pocitace.
Tak s tím jsem se opravdu ještě nepotkal. Schválně jsem si to vyhledal v "Dostálkovi" (Velký průvodce protokoly TCP/IP a systémem DNS) a dozvěděl jsem se, že dříve tomu tak opravdu bylo, slovo intranet je novější. Odpusťte mému mládí leč v současnosti je významový rozdíl silně vyhraněn. Navíc BFU význam slova internet nezná a představuje si Internet, takže formulace v článku byla nevhodná i z hlediska toho, že je to další, byť asi nechtěná, kapka přiživující představu o "tom velkém zlu", které Internet skrývá (a proto je třeba ho kontrolovat, filtrovat, zpozavírat hackery ...)
...
>neni nutne psat "porty by byt zavrene mely, tedy s vyjimkou
>tech, ktere se uzivaji". To je snad neco tak jasneho.
Ale právě o to šlo! V článku se píše, že by měly být zavřené všechny porty. Co píšete BFU opravdu jasné není, když ani neví, co je to ten "port" ... Zrovna včera večer jsem strávil netriviální čas vysvětlováním jednomu uživateli, že si RealPlayerem nepustí klipeček na webu Alizee, protože náš správce blokuje na firewallu port 554 ("a co to znamená?"
>To je asi jako bych napsal, ze si mate zamknout dvere u auta
>a Vy jste me kritizoval, ze se do nej nemuzete dostat. Je
>nutne rikat, ze kdyz chcete dovnitr, tak je dobre si auto
>odemknout?
Pokud bych nevěděl, co je to zámek (BFU neví, co je port) a slepě dodržel návod na zamčení, pak bych Vás kritizoval právem, že jste mi neřekl, jak auto odemknout, když mě posíláte dovnitř ...
no, uf, tak jsme si to vyrikali, uz jsem se bal, ze si z crosswire-u upletu opratku. Jen poznamenavam, ze ac pan Stwora dela do vypocetky, tak zde vystupuje jako novinar a kvuli cestinskemu rodu se muze stat, ze se noviny hodne spatne ctou. A to je zde velka chyba. Pro servisaka to je o nicem, to je pravda.
10.5.2004 23:13
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28828
Pane Kavole,
i mně se zdá, že to trošku přeháníte. Hádáte se o slovíčka. Nikdo vám nebere vaši odbornost. Všichni tady uznáváme, že víte více, než my všichni dohromady. Pokud jsem někde použil ne zcela přesné označení, tak snad to svět přežije. Důležité bylo varovat před tím červem. Jestli vás tak strašně rozčilují výrazy jako "starší Windows", tak to prostě nečtěte.
>Všichni tady uznáváme, že víte více, než my všichni dohromady.
Nevím, jaká dávka sarkasmu či ironie v tom je, ale doufám, že nenulová
>Pokud jsem někde použil
>ne zcela přesné označení, tak snad to svět přežije.
>Důležité bylo varovat před tím červem.
Jistě. Mimochodem, spíše než o pojmenování Windows mi ale šlo o ty otevřené porty, u woken opravdu není normální aby bylo zavřené všechno, pokud to někdo vezme doslova, může se zbytečně vyděsit. No a také viz předchozí odpověď s tím internetem - imho to vyvolává zbytečně negativní asociace, přičemž jsem měl pocit, že Vy se snažíte Internetu spíše zastávat ... nehledě na druhou věc, že někdo může získat pocit falešného bezpečí, pokud jeho počítač zrovna do Internetu připojen není (zkušenost z naší sítě - správce všem napovídal, jak nás úžasně chrání jeho skvělý firewall :-/ a uživatelé si teď myslí, že nepotřebují antivir nebo záplatovat wokna ...)
Ještě k tomu přehánění, také viz předchozí odpověď - kolega djb to "ustál" celkem dobře. Občas je přece potřeba trochu lidi poškádlit, ne?
Taktéž nezlobím se na Vás za článek, věřím, že jste jej psal s nejlepším úmyslem. Odpusťte mi, že některé chyby (nebo co za ně považuji) pranýřuju nevybíravými způsoby, ale neustále se "poklonkovat" by byla nuda
nicmene, porty neporty, chtel jsem jen upozornit, ze prispveky posledni dobou delaji hruzyplne veci. Napr. obcas kdyz chci kliknout na Reagovat, dozvim se, ze cislo clanku neexistuje.To se ostatne dozvidam leckde...Seradit ap.Casem uz to ale zase funguje. Kliknu-li na zobrazeni novych, zobrazi se nove u uplne jineho clanku, obcas brouzdam do zvedavce tam a zpet tam a zpet a ne a ne se to oznacit jako prectene. No a tak. Zdrojaky jsem nekoumal, tak nevim, jestli se to spatne generuje, nebo jestli si to plete cisla na strane serveru. Mam XP/IE6.0
6.5.2004 22:12
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28688
Jsem rád, že na to upozorňujete. Tak tedy ještě jednou pro vás a pro všechny zkušené brouzdače:
Číslo článku spolu se všemi dalšími přenášenými paramtery je uložen v SESSIONS. Informace se obnovuje po návratu z diskuze někam do Zvědavce. Čili očekávané kroky jsou: článek -> diskuze -> hlavní stránka nebo jiný článek -> diskuze k novému článku... atd. Podstatné je, že v každém okamžiku očekává systém jen jedno okno.
Jestliže si jako zkušený surfář otevřete jedno okno s článkem a druhé okno s diskuzí a mezi těmi okny přepínáte, nebo nedej bože si otevřete okno s druhým článkem, dokážete systém parádně zmást.
nebo nedej bože si otevřete okno s druhým článkem
obvykle si otevru v kazdem okne zvlast hned vsechny nove clanky, diskuze k nim vcetne novinek. To bude asi ten problem.
Ze to visi i na otevrenych oknech mi uniklo.
7.5.2004 0:00
RE: Červ Sasser je neškodný, ale šíří se prý rychl
Vladimír Stwora editor (zavináč) zvedavec (tečka) org 24.?.?.?
Reakce na 28691
I já jsem si musel zredukovat počet oken v případě Zvědavce. U jiných stránek jich mívám běžně otevřeno několik současně. Je to nepříjemná věc, ale nenapadlo mě lepší řešení. Když totiž všechny parametry posílám tam a zpět při každém přenosu (formou POST nebo GET), někteří koumáci se pokoušejí s tím manipulovat. Ono by to až tak nevadilo, mělo by to být blbuvzdorné, ale jeden nikdy neví.
25.5.2005 20:25
Červ Sasser je neškodný, ale šíří se prý rychle
Petr Horník pehosaman (zavináč) quick (tečka) cz 62.?.?.?
Nevím jak rychle se šíří, jisté je, že se mi v programu Avast! pořád objevovalo hlášení, že je vše v pořádku.
Po update z verze 4.5 na 4.6 antivir Avast! objevil virus sám v sobě.